Page tree
Skip to end of metadata
Go to start of metadata

Contenu


RTS SCA

Pour renforcer la protection des clients lors de paiements à distance, la DSP2 rend obligatoire l'authentification SCA  (Strong Customer Authentication) du porteur pour tout paiement électronique qu'il initie.

Tous les cas de paiements initiés par le porteur entrent dans le champ d’application des RTS :

  • Saisie des données carte (ex : page de paiement site commerçant)
  • Wallet bancaire
  • Wallet marchand et card on file


Type de paiementCas d’usage

Paiement à la commande

Paiement à l’expédition

Paiement sur un site e-commerce

Paiement fractionné

Paiement 3X-4X

AbonnementAbonnement montant total connu à la commande


Transactions hors scope

Sont exclus du champ d’application :

  • Les prélèvements (hors mandats de prélèvement SEPA électronique) et paiement non électronique (MOTO).
  • Les paiements pour lesquels le montant ne peut être déterminé et pour lequel le consentement du payeur ne peut être recueilli pour ce montant, sont considérés comme initiés par le commerçant.
  • Les paiements « One Leg » (la banque émetteur ou acquéreur est située hors Union Européenne)
  • Les paiements initiés par le marchand (Merchant Initiated Transaction - MIT). Interprétation des schemes VISA et Mastercard 


Type de paiementCas d’usage
Paiement complémentairePaiement des suppléments facture d’hôtel après le checkout
Paiement no showRéservation d’une location non réalisée
Abonnement montant variable ou sans échéanceAbonnement téléphone-internet
Abonnement montant fixe sans échéanceAbonnement chaine de streaming


Les exemptions

 5 exemptions à l’obligation d’authentification forte pour les paiements carte ont été fixés par l’ABE


Liste des exemptions

Paiement de faible montant

Whitelisting (bénéficiaire de confiance)

Analyse par les risques

Paiement récurrent

Protocoles de paiement sécurisés par les entreprises


  • L’authentification forte est optionnelle si et seulement si la transaction rentre dans le périmètre d’une exemption.
  • Il suffit de vérifier un seul cas d’exemption pour que la dérogation s’applique.
  • Les exemptions sont disponibles pour les émetteurs et acquéreurs.
  • Les exemptions ne sont pas disponibles pour les marchands.
  • Les RTS SCA mettent la décision finale de procéder à une authentification forte entre les mains de l’émetteur.

 

Paiement de faible montant

Cette exemption concerne tous les paiements dont le montant est inférieur ou égal à 30€, sauf si le montant cumulé est supérieur à 100€ ou si 5 transactions ont eu lieu consécutivement depuis la dernière authentification forte.

Selon le GIE CB cela concerne 53% des transactions en volume.

Whitelisting

Une liste de bénéficiaires de confiance est déclarée auprès de la banque du porteur. Cette dernière pourra donc exempter d’authentification forte toutes les transactions entre le porteur et ses bénéficiaires. A noter que la création ou la modification de la liste déclenchera une SCA.

Pour les commerçants cette exemption est très intéressante car elle s’applique pour les montants supérieurs à 100€ qui représentent 15% des transactions en volume et 30% en montant.

Son application pourrait permettre de maintenir les parcours d’achat pour les paiements one-click, cependant sa mise en œuvre n’est pas encore définie à ce jour par les émetteurs.

Analyse par les risques

Une analyse de risque de la transaction est réalisée par l’émetteur à la condition que le taux de fraude de l’émetteur (et éventuellement de l’acquéreur) soit sous les seuils définis par les RTS SCA.

Le taux de fraude est calculé en divisant le montant total de l’ensemble des transactions à distance frauduleuses ou non autorisées par le montant total de l’ensemble des transactions à distance effectuées au moyen de l’instrument de paiement en question, qu’il y ait ou non authentification forte, sur une base de 90 jours.

L’émetteur ne peut plus utiliser l’exemption pour un instrument de paiement donné si le taux de fraude excède celui fixé pour les transactions de 100 euros pendant plus de 180 jours. Il ne pourra retrouver cette faculté que lorsque le taux sera repassé en dehors du seuil pendant plus de 90 jours.

Calcul trimestriel du taux de fraude par type de transaction

Taux de fraude = [valeur totale des transactions non autorisées par le payeur ou frauduleuse] / [valeur totale des transactions]

Plafond d’exemption

Paiements cartes à distance

500€

0.01%

250€

0.06%

100€

0.13%

Les transactions en dessous de 100€ représentent 85% des transactions en volume, l’objectif pour tous les acteurs (banques, commerçants) est de collaborer afin de maintenir le taux de fraude en dessous des 0.13%.

Pour cela l’analyse de risque réalisée par le marchand (qui a une très bonne connaissance de ses clients) sera nécessairement prise en compte par l’émetteur lors de sa prise de décision d’application d’une SCA.

Paiement récurrent (abonnement)

Dans le cas où un payeur crée, modifie ou initie pour la première fois une série d’opérations récurrentes ayant le même montant et le même bénéficiaire, une authentification forte sera réalisée uniquement sur la première opération. Les suivantes entreront dans le cadre de l’exemption.

Exemples d’application : abonnement de type musique en ligne, vidéo à la demande, dating.

Protocoles de paiement sécurisés par les entreprises

Cette exemption concerne les paiements initiés par des payeurs « personnes morales » ayant des processus spécifiques de sécurisation.

  • Factures crédit par carte/transferts de fonds initié par le commerçant
  • Carte réservées aux entreprises (achats/logés)